Gerenciar o acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário

Saiba nesta página como conceder acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário do Vertex AI Workbench.

Você controla o acesso à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário usando o modo de acesso da instância. Você define um modo de acesso JupyterLab quando cria uma instância de notebook gerenciada pelo usuário. Não é possível alterar o modo de acesso após a criação do notebook.

O modo de acesso do JupyterLab determina quem pode usar a interface JupyterLab da instância. O modo de acesso também determina quais credenciais são usadas quando a instância interage com outros serviços do Google Cloud.

Limitações de acesso

O acesso de um principal à interface JupyterLab de uma instância de notebooks gerenciados pelo usuário não inclui o acesso à instância. Por exemplo, para iniciar, interromper ou redefinir uma instância, é necessário conceder ao principal o acesso para executar essas operações definindo uma política do IAM na instância. Para conceder acesso à instância de notebooks gerenciados, consulte Gerenciar o acesso a uma instância de notebooks gerenciados.

Modos de acesso do JupyterLab

As instâncias de notebooks gerenciados pelo usuário oferecem suporte aos seguintes modos de acesso:

• Apenas um usuário: o modo de acesso Apenas um usuário só concede acesso ao usuário que você especificar.

• Conta de serviço: o modo de acesso da conta de serviço concede acesso a uma conta de serviço. É possível conceder acesso a um ou mais usuários por meio dessa conta de serviço.

Apenas um usuário

Ao criar uma instância de notebook gerenciada pelo usuário com acesso Somente usuário único, você especifica uma conta de usuário. A conta de usuário especificada é a única com acesso à interface JupyterLab. Se a instância precisar acessar outros recursos do Google Cloud, essa conta também vai precisar de acesso a esses recursos.

Conceder acesso a um único usuário

Para conceder acesso a um único usuário, siga as etapas abaixo.

1. Crie uma instância de notebook gerenciada pelo usuário com as seguintes especificações:

   1. Na caixa de diálogo Criar instância, na seção IAM e segurança, selecione o modo de acesso Apenas usuário.

   2. No campo E-mail do usuário, insira a conta de usuário a que você quer conceder acesso.

2. Preencha o restante da caixa de diálogo e clique em Criar.

Conta de serviço

Ao criar uma instância de notebook gerenciada pelo usuário com acesso à conta de serviço, você especifica uma conta de serviço. Se a instância precisar acessar outros recursos do Google, essa conta também vai precisar de acesso a esses recursos.

Ao especificar uma conta de serviço, escolha uma das seguintes opções:

• Selecione a conta de serviço padrão do Compute Engine.
• Especifique uma conta de serviço personalizada. A conta de serviço personalizada precisa estar no mesmo projeto da instância de notebooks gerenciados pelo usuário. Para criar a instância, é necessário ter a permissão iam.serviceAccounts.actAs na conta de serviço.

Para conceder acesso aos usuários por uma conta de serviço, conceda a permissão iam.serviceAccounts.actAs na conta de serviço especificada para cada usuário que precisar acessar o JupyterLab.

Conceder acesso a vários usuários por meio de uma conta de serviço

1. Crie uma instância de notebook gerenciada pelo usuário com as seguintes especificações:

   1. Na caixa de diálogo Criar instância, na seção IAM e segurança, selecione o modo de acesso da Conta de serviço.

   2. Escolha a conta de serviço padrão do Compute Engine ou uma conta de serviço personalizada.

      • Para usar a conta de serviço padrão do Compute Engine, selecione Usar a conta de serviço padrão do Compute Engine.

      • Para usar uma conta de serviço personalizada, desmarque a opção Usar a conta de serviço padrão do Compute Engine e, no campo E-mail da conta de serviço, digite seu endereço de e-mail da conta de serviço personalizada.

2. Preencha o restante da caixa de diálogo e clique em Criar.

3. Para cada usuário que precisar acessar o JupyterLab, conceda a permissão iam.serviceAccounts.actAs na sua conta de serviço.

Metadados do modo de acesso

O modo de acesso configurado durante a criação da instância de notebooks gerenciados pelo usuário fica armazenado nos metadados do notebook.

Quando você seleciona o modo de acesso Apenas usuário único, o Vertex AI Workbench armazena um valor para proxy-mode e proxy-user-mail. Confira a seguir exemplos de entradas de metadados de acesso de usuário único:

• proxy-mode=mail
• [email protected]

Quando você seleciona o modo de acesso da Conta de serviço, o Vertex AI Workbench armazena uma entrada de metadados proxy-mode=service_account.

A seguir

• Conceder a um principal o acesso a uma instância de notebooks gerenciados pelo usuário.

• Para saber como conceder acesso a outros recursos do Google, consulte Gerenciar o acesso a outros recursos.